保护企业免受软件供应链攻击的必要性

关键要点

大多数企业依赖商业软件而非开源软件，因为这种软件通常由有保障的组织维护和支持。商业软件的安全问题越来越严重，包括数据泄露和供应链攻击，CISO需要采取更强的技术控制措施。虽然SBOM提供了一定的透明度，但不足以确保软件的安全性，企业还需进行深入分析和审查。CISO面临的风险和责任越来越大，必须积极采取措施以防范潜在威胁。

在当今的数字时代，世界依赖开源的说法似乎变得十分流行。然而，许多企业的运营实质上依赖于商业软件，这并非没有原因：公司希望有一个支持其ERP及其他关键任务软件的组织来进行维护、扩展和更新。

白鲸加速器下载链接

然而，组织如何能确保其软件真正安全可靠呢？这并不是一件容易的事情。

最近发生的多起安全事件，例如SolarWinds、3CX、CircleCi、Kaseya和Ivanti，反驳了开源软件的普遍安全性。即使回溯到最初引起我们关注软件供应链安全的事件之一NotPetya，它涉及的也是商业软件，乌克兰税务软件MeDoc。

SC Media Perspectives专栏由一群值得信赖的网络安全专业人士撰写。在这里阅读更多观点

所有这些事件都是由于商业软件中的软件供应链问题引起的，而非开源软件，问题的严重性日益加剧。据2024年Verizon数据泄露调查报告的数据显示，与第三方软件开发组织相关的泄露事件占数据泄露的15，相比上一年增长了68。

根据Gartner的最新报告，软件供应链攻击的成本将从2023年的460亿美元上涨到2031年的1380亿美元，增幅达到200。这些攻击涵盖了专有和商业代码，形成了回避风险和合规性的重要问题。这些风险导致的攻击对软件供应商及其企业客户均造成了可怕的财务、运营和声誉影响。对于CISO来说，尽管攻击是针对其他软件，但结果仍然由他们的公司承担。

每个企业都有处理开源软件的流程，但对商业软件的处理却截然不同。这一流程主要基于信任、供应商对问卷的自我声明、安全评分以及供应商提供的组成组件清单。然而，这些方式已经显得不够可靠。

为了确保其开源代码的安全，许多企业会使用诸如软件成分分析(SCA)、静态和动态应用安全测试(SAST/DAST)等工具，但对于